28Gen


Ja hi ha sanció. Per primera vegada en la història , dues empreses ( espanyoles ) són sancionades per utilitzar Google Analytics, Google Maps, Youtube, WordPress i Zopim, entre d’altres, instal·lant galetes d’aquests serveis sense complir la Llei de galetes. Les multes són de 3.000 € per a la primera empresa i de 500 € per a la segona. La Resolució és la R/02990/2013.

Introducció: L’any 2002 es va aprovar a Espanya la Llei de cookies. El 2012 es va reformar aquesta norma afegint la necessitat d’informar l’usuari abans que s’instal·lin certes cookies. Aquest mateix any un usuari denunciar a dues empreses per considerar que tractaven les seves dades de manera il·legal. Als mesos, l’AEPD va obrir el procediment sancionador per instal·lació de cookies. El 2014, l’AEPD va resoldre sancionar.

En la resolució, el director de l’Agència Espanyola de Protecció de Dades RESOL:

  1. IMPOSAR a l’entitat XXXX, S.L., per una infracció de l’article 22.2 de la LSSI, tipificada com a lleu en l’article 38.4.g) d’aquesta norma, una multa de 3.000 € (tres mil euros), de conformitat amb el que estableixen els articles 39.1.c) i 40 de l’esmentada LSSI.
  2. IMPOSAR a l’entitat YYYY, S.L., per una infracció de l’article 22.2 de la LSSI, tipificada com a lleu en l’article 38.4.g ) d’aquesta norma , una multa de 500 € (Cinc-cents euros), de conformitat amb el que estableixen els articles 39.1.c) i 40 de l’esmentada LSSI.
  3. Advertir als sancionats que les sancions imposades hauran de fer efectives [ … ]
L'inici del cas

Les pàgines de comerç electrònic de dues empreses espanyoles usaven diversos serveis per analitzar el trànsit de la web (Google Analytics), mostrar una mica de publicitat (DoubleClick), mostrar vídeos (Youtube), mostrar mapes (Google Maps) i respondre els dubtes dels seus clients a través d’un xat (Zopim), entre d’altres. Perquè aquests serveis funcionin, els llocs web necessiten instal·lar algunes galetes en els dispositius (PC, mòbil, tauleta …) dels usuaris. Aquestes galetes recullen dades de navegació i els tracten, dins i fora de d’Europa.

El cas va començar quan un usuari (Don AAA), navegant per les pàgines de les dues esmentades empreses, va veure com s’instal·laven cookies en els seus dispositius per recollir , enviar i tractar les seves dades. L’usuari realitzar la navegació amb Firefox des del PC i Opera des del mòbil.

20 setembre 2012-El preocupat usuari es va posar en contacte amb l’Agència (AEPD).

En aquest article expliquem l’inici del cas : Sanció per instal·lar galetes de Google Analytics (i altres)

La inspecció de l'AEPD

12 setembre 2012-En l’avís legal d’un dels llocs inspeccionats figurava aquest text:

“Utilitzem cookies per millorar l’experiència de l’usuari i per enviar continguts personalitzats. Les cookies ens permeten oferir-li informació personalitzada o seleccionada per vostè (els seus favorits), li eviten haver de tornar a introduir la contrasenya cada vegada que visita la nostra pàgina i porten un seguiment de la cistella de la compra. A més, ens permeten analitzar millor el trànsit de la pàgina per millorar la nostra oferta. La nostra pàgina web NO funcionarà si desactiva les cookies en el seu navegador.”

12 novembre 2012- L’AEPD va realitzar la primera inspecció de cookies utilitzant Google Chrome i obtenint les proves en forma de captures de pantalla.

12 desembre 2012- Els altres llocs encara no tenien informació sobre les cookies.

23 gener 2013- En l’avís legal de tots els llocs, les empreses ja havien inclòs aquest text:

RESERVA DE COOKIES

XXXX, S.L. es reserva el dret d’utilitzar cookies en la navegació de l’ usuari per les seves websites per facilitar la personalització i comoditat de la navegació. Seguint la política de protecció de dades de l’empresa, XXXX, SL informa que les cookies s’associen a l’usuari anònim i al seu ordinador, i no proporcionen per si el nom i cognoms de l’usuari.

L’usuari té la possibilitat de configurar el seu navegador de manera que se li informi de la recepció de cookies, podent, si així ho desitja, impedir que siguin instal·lades en el seu disc dur. No obstant, per l’accés a la website de XXXX , SL no serà preceptiva la instal·lació de cookies.”

Aquest avís, juntament amb els altres que mostraven els denunciats , reunien aquestes característiques :

  • No definia les cookies.
  • No detalla el tipus de cookies utilitzades.
  • No identifica si les galetes són pròpies o de tercers .
  • Es referia de manera vaga i genèrica a algunes de les seves finalitats.
  • No adverteix sobre els mecanismes de desactivació de cookies.
  • No adverteix de la manera de revocar el consentiment.
  • La infomació es facilitava de forma poc accessible .
  • La informació es facilitava sense prou visibilitat, ja que estava distribuïda en diferents. apartats de diferents documents la denominació (“Condicions d’Ús”, “Política d’Ús” o “Política de Privadesa”) no permetia la seva fàcil localització .

23 gener 2013- L’AEPD va realitzar la segona inspecció de cookies utilitzant Internet Explorer 8 i Google Chrome. Les proves també es van obtenir en forma de captura de pantalla.

22 i 23 de maig de 2013- L’AEPD va realitzar la tercera inspecció de cookies utilitzant Firebug al Firefox, obtenint una llista de les galetes descarregades així com la seva exportació.

Les cookies localitzades són, principalment, dels següents serveis:

  • Google Analytics: L’AEPD copia i enganxa en la resolució un paràgraf del contracte per utilitzar aquest servei de Google en el qual s’obliga al responsable dels llocs web a tenir i acatar “una política de privacitat apropiada” i a complir “amb totes les lleis aplicables i regulacions relacionades amb la recollida d’informació dels Visitants”.
  • WordPress: Els dos plugins que instal·len galetes eren Jetpack, amb funcions similars a les de Google Analytics, i Slimstats, que mostra informació concreta per visitant, com el seu país d’origen o el seu sistema operatiu.
  • Quantcast: Una altra galeta analítica, vinculada també a les de Automattic (WordPress )
  • Seevolution: Aquestes, que estaven en desús, analitzen els hàbits de navegació dels usuaris.
  • Google Maps: Algunes de les galetes personalitzen els anuncis que es mostren en els serveis de Google, altres emmagatzemen certes preferències de l’usuari, i una altra més encara no se sap què, d’aquestes dues coses, fa .
  • Youtube: Una associa la IP de l’usuari amb informació sobre l’ample de banda dels vídeos. Sobre la segona, anomenada YSC, l’AEPD encara no té idea de per a què serveix.
  • DoubleClick: Permet mostrar publicitat personalitzada als usuaris.
  • ZOPIM: Una de les galetes identifica els usuaris i una altra millora el rendiment del lloc.
  • Magento: Cookies adequades per procurar que la botiga virtual funcioni millor.
  • Google: Flash galeta (o local Shared Object), associada al domini s.ytimg.com, de Google però de la qual aquesta empresa no diu res. La finalitat d’aquesta galeta (emmagatzemar les imatges fixes de vídeos de Youtube) es va descobrir gràcies a una un web privada de hackers.
  • Cookie de les empreses sancionades: Força als navegadors a recarregar la pàgina.
El procediment sancionador

15 juliol 2013- S’inicia el procediment sancionador a les dues empreses espanyoles.

5 agost 2013- Les empreses denunciades adverteixen a l’AEPD que ja mostren l’avís adequat per complir amb la normativa de cookies en tots els seus llocs.

9 agost 2013- L’AEPD inicia un període de pràctica de proves, seguit de la recopilació d’informació addicional i altres accions.

6-7 de setembre- El denunciant confirma l’AEPD que les galetes descobertes són les que se li van instal·lar en el seu ordinador personal i en el seu terminal mòbil.

Així mateix , D. A.A.A. fa les següents apreciacions sobre els objectius de la Llei de Cookies

  • L’objectiu és evitar que les empreses a les quals afecta aquesta norma es converteixin en una via més per a la fugida no consentida de dades de navegació, de comportament i, en particular, dades personals.
  • Les entitats han optat per usar certes plataformes a canvi que aquestes terceres empreses puguin extreure dades dels seus usuaris. Les entitats no expliquen l’usuari la destinació de les dades, la finalitat del tractament o si més no, quines dades s’extreuen.
  • Irreparabilitat: Els danys han estat produïts. Part de la base de l’existència de l’article 22.2 LSSI és assegurar que no es produeixin danys irreparables o, almenys, que previnguin.

Octubre 3, 2013- L’AEPD exclou del procediment al denunciant per entendre que no ha demostrat “ser titular d’un dret o interès legítim que pugui resultar afectat per la decisió que s’adopti en l’expedient “.

Per fortuna, l’AEPD va tenir a bé deixar fora del procediment al denunciant, no tenint- com a interessat, perquè no va ser capaç de provar “haver accedit, com afirma, a les esmentades pàgines web des del seu ordinador personal o el seu terminal mòbil”. D. A.A.A. presentar una denúncia en què indicava quins llocs concrets del denunciat l’havien instal·lat aquestes cookies, però l’AEPD va considerar que aquesta persona no va aportar “cap element de prova que permeti justificar la instal·lació en els seus terminals de cookies pròpies o de tercers per part de les empreses imputades arran d’aquests accessos”. Aquests fets tenen com a grata conseqüència que l’AEPD no hagi pogut” verificar l’existència d’un tractament de dades personals o d’altre tipus derivat de la utilització de la informació procedent de les galetes suposadament instal·lades ” i, per tant, no entra a sancionar més enllà del que ja s’ha sancionat.

15 a 27 de novembre de 2013- L’AEPD realitza més proves sobre els llocs web de les entitats.

13 desembre 2013- El director de l’AEPD formula proposta de resolució:

  • Multa de 3.000 € a XXXX , S.L.
  • Multa de 500 € a YYYY , S.L.

8 gener 2014- Les entitats sol·liciten a l’AEPD que només se’ls amonesti, perquè amb les galetes instal·lades no realitzen “tractaments de dades de caràcter personal” o que se’ls imposi la sanció mínima.

les sancions

14 gener 2014- El Directe de l’AEPD resol :

  • PRIMER: [Un assumpte de protecció de dades amb multa de 1.500 €]
  • SEGON: IMPOSAR a l’entitat XXXX, SL, per una infracció de l’article 22.2 de la LSSI, tipificada com a lleu en l’article 38.4.g) d’aquesta norma, una multa de 3.000 € (tres mil euros), de conformitat amb el que estableix en els articles 39.1.c) i 40 de l’esmentada LSSI.
  • TERCER: IMPOSAR a l’entitat YYYY, SL, per una infracció de l’article 22.2 de la LSSI, tipificada com a lleu en l’article 38.4.g) d’aquesta norma, una multa de 500 € (Cinc-cents euros), de conformitat amb el que estableix els articles 39.1.c) i 40 de l’esmentada LSSI.
  • QUART: NOTIFICAR la present resolució a les entitats XXXX, SL i YYYY, S.L. i al senyor A.A.A.
  • CINQUÈ: Advertir als sancionats que les sancions imposades hauran de fer-
    efectives en el termini [ … ]

El positiu d’aquesta sanció és que podia haver arribat als 30.000 € en tots dos casos . Afortunadament , s’ha quedat únicament en 3.000 €, en el primer cas , i en 500 € , en el segon. L’AEPD podia haver deixat les sancions en 0,01 € cadascuna, perquè no hi ha mínim establert a la LSSI

Fets i fonaments rellevants

FET PROVAT VUITÈ : “La utilització dels esmentats serveis”, aquests són Google Analytics, Youtube, Zopim, TradeDoubler, Magento i WordPres , “origina la descàrrega de diferents tipus de galetes no exemptes del deure d’informació prèvia a l’usuari que accedeix als llocs web de la seva titularitat” .

FET PROVAT DESÈ: Els llocs web dels sancionats “instal·len i utilitzen galetes, tant pròpies com de tercers, no exemptes del deure d’informació prèvia a la seva emmagatzematge en els terminals dels usuaris”.

FONAMENT DE DRET VII: La Llei de cookies busca ” garantir que la utilització de les cookies es produeix respectant la privacitat dels usuaris, de tal manera que els afectats puguin manifestar el seu consentiment o negativa a la utilització d’aquests dispositius tenint prèviament coneixement del tipus de cookies que es pretenen instal·lar i les finalitats perseguides amb això pel prestador de serveis de la informació”.

FONAMENT DE DRET VIII: Ha quedat acreditada “la instal·lació i utilització de cookies en els terminals dels usuaris que accedeixen als llocs web titularitat de les mateixes sense haver-los facilitat, prèviament, informació clara i completa sobre l’ús i finalitats d’aquests dispositius i sense comptar, tampoc, amb un consentiment vàlidament atorgat per no haver obtingut mitjançant una informació prèvia correcta”.

Solució adoptada pels denunciats

Les entitats imputades han optat per utilitzar el sistema d’informació per capes.

Desafortunadament, no ho van fer bé i seguir incomplint. L’AEPD assenyala que el sistema de capes utilitzat per les dues entitats “no conté la informació que es considera necessària per estimar que resulta completa i clara, especialment pel que fa a la tipologia de cookies realment utilitzades, finalitat de les mateixes i identitat dels que instal·len i utilitzen les cookies , el que invalidaria el consentiment que pugui ser prestat pels usuaris al “Acceptar” la “Política de cookies” o seguir navegant pels llocs web”.

El sistema d’informació per capes implica informar mínimament amb un avís emergent, que inclou un enllaç a l’avís legal on es troba la resta de la infomació.

La primera capa d’incloure la següent informació mínima:

  • Notes sobre l’ús de cookies no exceptuades que s’instal·len en navegar pels llocs web o en utilitzar el servei sol·licitat.
  • Identificació de les finalitats de les cookies que s’instal·len, amb informació sobre si es tracta de cookies pròpies o de tercers.
  • Advertència, si és el cas, que, si es realitza una determinada acció, s’entendrà que l’usuari accepta l’ús de les cookies.
  • Un enllaç a la segona capa informativa en què s’indica una informació més detallada .

A la segona capa s’hauria d’incloure la següent informació:

  • Definició i funció de les galetes.
  • Tipus de cookies que utilitza la pàgina web i la seva finalitat.
  • Forma de desactivar o eliminar les galetes descrites i forma de revocació del consentiment ja prestat.
  • Identificació dels que utilitzen les galetes, inclosos els tercers amb el que l’editor hagi contractat la prestació d’un servei que suposi l’ús de cookies .
Sistemes anti-cookies

A Com complir la Llei de galetes assenyalo alguns sistemes.

Nosaltres, al web de Abanlex, vam començar usant ( el 5 d’abril de 2012) la solució JPECRGA, creada per Wolf Programari per poder instal·lar les galetes de Google Analytics complint completament la Llei de Cookies .

JPECRGA és programari lliure. La solució que Wolf distribueix ara no permet la modificació lliure. Així que, tenint nosaltres l’original i podent distribuir gratuïtament, aquí la deixem, sota GNU – GPL v3, perquè cadascú faci amb ella el que la llicència li permeti.

Actualment no ens cal bloquejar cookies. Tot i això, perquè volem seguir informant, fem servir el plugin Cookie Law, juntament amb la solució WP DoNotTrack en mode “normal”.

Part de la base de l’existència de l’article 22.2 LSSI és permetre que sigui l’usuari el que decideixi qui accedeix al seu navegador i de quina manera ho pot fer . El consentiment , condició perquè es puguin instal · lar les galetes podria demanar d’infinitat de formes : el desplaçament , a la seva sol.licitud de l’usuari , de la pàgina per mitjà de scroll , la instal · lació de cookies retardada , de manera que permeti sortir del lloc sense elles , la pulsació de qualsevol botó de la web; l’acceptació d’una casella habilitada a aquest efecte … Per a cada proposta de compliment vàlid , hi ha una solució tècnica possible .

S'ha d'obtenir el consentiment previ

Sí, l’AEPD considera que és obligatori, però que la seva falta d’obtenció no és sancionable.

Considero que l’AEPD interpreta malament la Llei La Llei exigeix que la informació sobre galetes sigui:

  1. Clara: La informació s’ha de poder comprèn fàcilment.
  2. Completa: S’ha d’oferir informació sobre la finalitat concreta de les galetes.
  3. Prèvia: La informació s’ha de facilitar abans de la instal·lació de les cookies.

Si interpretem, com fa l’AEPD, que el caràcter previ al consentiment no és un requisit essencial de la informació, perquè el consentiment en si no ho és, arribem a l’absurd de considerar:

  • Sancionable la informació prèvia, completa, però confusa.
  • No sancionable la informació clara, completa, però lliurada als 3 dies.

Resulta palmari que, segons l’article 38.4.g de la LSSI, és una infracció lleu “L’incompliment de les obligacions d’informació o d’establiment d’un procediment de rebuig del tractament de dades, establertes en l’apartat 2 de l’article 22, quan no constitueixi una infracció greu .”

La informació que no és prèvia a la instal·lació no és una informació vàlida perquè incompleix el requisit més fonamental que se li exigeix: que sigui prèvia. El fet que hi hagi o no consentiment és irrellevant, però el fet que la informació no sigui prèvia si és un incompliment de les obligacions d’informació i, per tant, sancionable.

Recordem que “en l’àmbit administratiu sancionador regeixen els principis de legalitat i tipicitat recollits en els articles 127 i 129 de la Llei 30/1999, de 26 de novembre, de règim jurídic de les administracions públiques i del procediment administratiu comú, que obliguen a circumscriure al sentit literal del precepte ia la tipificació contemplada respecte del mateix, sense que en cap cas no es pot efectuar una interpretació en sentit ampli “. El que no és acceptable és que l’AEPD s’inventi un article 38.4.g de la LSSI diferent del que ara està en vigor. Diu l’AEPD que “no pot sancionar una conducta que no està contemplada en el tipus sancionador fixat per l’article 38.4.g ) de la LSSI, ja que aquest precepte fa referència a l’establiment d’un procediment de rebuig del tractament de dades”, però ¡ també fa referència a l’obligació d’informació establerta en l’apartat 2 de l’article 22 !

L’acte de copiar una frase de l’avís legal (” instal cookies”, per exemple) en la portada d’una web podria haver estat una via per complir el contingut de l’article antic 22.2 LSSI, que només demanava informar. Afortunadament, ara l’actual article 22.2 LSSI permet instal·lar galetes a condició que s’hagi obtingut consentiment, després que se li hagi facilitat informació clara i completa sobre la finalitat de les cookies. La instal·lació de tot tipus de cookies a l’usuari no hauria de ser automàtica, pel simple fet que aquest hagi accedit al lloc web.

Canviar les paraules ” a condició ” i ” després” , recollides en la Llei, per un “prestador podrà instal·lar i permetre a altres instal·lar el que vulguin però després d’informar amb un pop – up que el seu avís legal conté més informació“, em sembla inadequat i perillós. Aquesta interpretació transformaria de manera perjudicial la modificació de la llei en una mera addició de ” i ara el prestador informarà per mitjà d’un pop – up” , la qual cosa poc té a veure amb la condició d’obtenció del consentiment previ informat.

El Ministeri de Justícia demostra, al seu web www.mjusticia.gob.es, que és possible complir el nou article per mitjà de l’obtenció d’una acceptació tàcita realitzant la instal · lació de cookies després que l’usuari premi qualsevol botó i després d’haver rebut la deguda informació.

Naturalment , toca aprofitar-se d’ aquesta interpretació de l’AEPD , que desnaturalitza completament la Llei de Cookies i dóna via lliure a que els nostres clients puguin instal · lar cookies directament , informant després i sense obtenir el seu consentiment informat. Serà un acte il · legal , però si l’AEPD considera que no és sancionable , el risc es converteix en àmpliament assumible .

Cookies exemptes del deure d'informació

Determinades galetes estan exemptes del deure d’informar i obtenir el consentiment. És a dir, es poden instal·lar sense necessitat de banners, pop- ups i finestres de major agressivitat.

Les cookies exemptes són les següents:

  • Les que només permeten la comunicació entre l’equip de l’usuari i la xarxa.
  • Les necessàries per a la prestació d’un servei de la societat de la informació expressament sol·licitat per l’usuari.

De les galetes que instal·laven les empreses sancionades, dues podien instal·lar sense necessitat d’informar i sense haver d’obtenir el consentiment sobre el seu ús: “frontend” i “External_no_cache”, que resulten estrictament necessàries per al funcionament del carret de la compra i el manteniment actualitzat dels preus dels productes a la venda, respectivament” .

Llei de Cookies & Protecció de Dades

La Llei de galetes és diferent de la Llei de Protecció de Dades. S’han d’aplicar de la forma següent:

  • Cookie que no s’usa per tractar dades personals: Només cal complir la Llei de Cookies.
  • Cookie que sí s’usa per tractar dades personals: Cal complir la Llei de Protecció de Dades i, a més, la Llei de galetes.

Un detall d’especial importància és que no és possible que l’AEPD substitueixi la multa per una amonestació , aplicant l’article 45.6 de la LOPD , pel fet que el règim sancionador que opera per les infraccions de la LSSI és el previst a la LSSI , no en la LOPD .

Ús de la propietat privada

La propietat privada dels individueos pateix amb la instal·lació de cookies, perquè tan propi pot ser un terreny com un bit.

L’ús no consentit de clústers en els terminals, per emmagatzemar arxius no essencials sense el consentiment de l’ usuari, quan aquest confia que les empreses espanyoles compleixin la Llei i li demanin consentiment previ, suposa un aprofitament il·lícit de la propietat privada digital. Ni és un assumpte de LOPD ni de LSSI … però també és cert que la norma que restringeix la instal·lació de certes cookies té el seu origen en la protecció dels béns electrònics del destinatari dels serveis. A escala reduïda, la implicació d’aquest bloqueig d’unitats d’emmagatzematge per a fins comercials del denunciat no té implicacions greus, però en ser part d’un ús massiu no consentit es converteix, de per si, en la causa d’un efecte nociu per a la navegació segura, sense intrusions de tercers i sense arxius o galetes d’espionatge de comportaments (o spyware).

Article escrit per Pablo Fernández Burgueño ( @ pablofb ) , advocat i soci de Abanlex .